2018年攝像頭安全報(bào)告:攝像頭對(duì)公網(wǎng)開放的安全問(wèn)題已是全世界共同面臨的重要挑戰(zhàn)
近幾年,在日常生活中智能家居的發(fā)展一片火熱���,而智能攝像頭相比其它智能家居產(chǎn)品更貼近生活�。因此有不少人選擇安裝智能攝像頭��,來(lái)作為感受一下智能家居的方式。但是���,萬(wàn)萬(wàn)沒想到��,原本是為了離家在外時(shí)監(jiān)控房屋安全情況的安全攝像頭����,卻成為了家里的最大的安全隱患����。攝像頭應(yīng)用已形成一條集黑客破解、買賣�、偷窺于一體的視頻攝像頭網(wǎng)絡(luò)黑產(chǎn)鏈。
12月27日��,北京華順信安科技有限公司白帽匯安全研究院發(fā)布《網(wǎng)絡(luò)空間測(cè)繪系列
——2018年攝像頭安全報(bào)告》(以下簡(jiǎn)稱“攝像頭安全報(bào)告”)顯示���,攝像頭對(duì)公網(wǎng)開放的安全問(wèn)題已是全世界共同面臨的重要挑戰(zhàn)��。隨著“互聯(lián)網(wǎng)+”模式的興起����,物聯(lián)網(wǎng)呈現(xiàn)出爆發(fā)式增長(zhǎng)和普遍化發(fā)展的趨勢(shì)。如果說(shuō)在互聯(lián)網(wǎng)時(shí)代,硬件和系統(tǒng)漏洞帶來(lái)的危害尚局限于用戶����,那么在萬(wàn)物互聯(lián)時(shí)代�����,由其衍生的危害將拓展至我們的人身安全�。
互聯(lián)網(wǎng)攝像頭暴露情況
報(bào)告顯示,攝像頭已經(jīng)無(wú)所不在�,全球228個(gè)國(guó)家和地區(qū),8063個(gè)城市����,2635萬(wàn)個(gè)攝像頭暴露在公網(wǎng)。DDoS攻擊�����、機(jī)構(gòu)安全風(fēng)險(xiǎn)����、個(gè)人隱私泄露等事件層出不窮�,黑產(chǎn)猖獗�����。比如���,2016年造成美國(guó)互聯(lián)網(wǎng)大面積癱瘓的Dyn事件�����,就是主要由攝像頭組成的僵尸網(wǎng)絡(luò)發(fā)起的DDoS攻擊所造成����。
攝像頭的特點(diǎn)是����,分布廣而且24小時(shí)在線。安全問(wèn)題主要有弱口令�����、缺乏安全防護(hù)和安全意識(shí)��,為了節(jié)省成本使用相同固件,但卻沒有自動(dòng)更新機(jī)制等����。這些安全隱患,無(wú)論是對(duì)于工業(yè)互聯(lián)網(wǎng)�,還是企業(yè)安全和公共安全,以及家庭的個(gè)人隱私都帶來(lái)了巨大威脅�����?���?紤]到未來(lái)可能成百億的攝像頭設(shè)備都會(huì)上網(wǎng)��,我們必須給予足夠的重視�。
聯(lián)網(wǎng)攝像頭存在的安全風(fēng)險(xiǎn)
可以從三種領(lǐng)域觀察聯(lián)網(wǎng)攝像頭的安全風(fēng)險(xiǎn):
1. 工業(yè)攝像頭
2014年,俄羅斯和格魯吉亞戰(zhàn)爭(zhēng)爆發(fā)前夕�,一條由里海通向地中海的長(zhǎng)1099英里的輸油管由于內(nèi)壓太大發(fā)生爆炸,雖然這條管道安裝了大量的探測(cè)器和監(jiān)控?cái)z像頭�,但均無(wú)警示。經(jīng)專業(yè)人員調(diào)查發(fā)現(xiàn)�,這些監(jiān)控?cái)z像缺少了爆炸前的60個(gè)小時(shí)錄像。之后�,此事件被定性為某國(guó)家的滲透行為,并且疑似早在2008年就開始布局。
2. 公共攝像頭
公共攝像頭性能高����、覆蓋面廣,一旦被黑客成功控制將對(duì)公共安全造成巨大威脅�。通過(guò)這類攝像頭,黑客不僅可以進(jìn)行挖礦和Dos攻擊���,還有可能大范圍�����、多角度地監(jiān)視他人�。此外��,不少公共攝像頭在連接執(zhí)法機(jī)構(gòu)遠(yuǎn)程控制端的過(guò)程中���,都需要經(jīng)過(guò)多個(gè)中轉(zhuǎn)點(diǎn)����。這期間����,如若有一個(gè)中轉(zhuǎn)點(diǎn)被黑客攻破��,就會(huì)對(duì)整個(gè)系統(tǒng)造成巨大的安全危害�。近幾年�,電影、電視等文學(xué)作品有大量的控制攝像頭的例子����。比如,好萊塢電影中“黑客隨意控制全城攝像頭紅綠燈”的場(chǎng)景����。
3. 家庭攝像頭
家庭攝像頭主要是個(gè)人隱私泄露問(wèn)題和被攻擊者控制的問(wèn)題。后者可被黑客利用進(jìn)行挖礦和DoS攻擊等非法獲利行為�,也可對(duì)家庭進(jìn)行長(zhǎng)期監(jiān)控,進(jìn)一步威脅家庭人身財(cái)產(chǎn)安全����。
攝像頭漏洞
聯(lián)網(wǎng)攝像頭主流的通訊協(xié)議為http(s)和RTS��,常用端口為80�、443、554等�。存在的漏洞類型包括命令注入、授權(quán)����、信息泄露��、緩沖區(qū)溢出�����、弱口令���、文件操作、XSS��、拒絕服務(wù)����、目錄遍歷、固件漏洞等��。
目前公開的攝像頭漏洞中����,中國(guó)的福斯康姆(Foscam)攝像頭漏洞數(shù)量最多,達(dá)65條以上����,占?xì)v年攝像頭漏洞總量的18%;法國(guó)施耐德旗下派爾高(pelco)攝像頭漏洞數(shù)量位列第二��,達(dá)37條以上����,占?xì)v年攝像頭漏洞總量的10%;日本艾威數(shù)據(jù)(I-O
DATA)攝像頭位列第三����,達(dá)32條以上;韓國(guó)三星(Samsung)、中國(guó)安訊士(D-Link)攝像頭廠商分別位列第四和第五;浙江大華和中國(guó)?�?低?hikvision)攝像頭分別位列第六和第七����,漏洞數(shù)量達(dá)17條以上。
從攝像頭品牌的漏洞數(shù)量對(duì)比來(lái)看����,市場(chǎng)占有量大的廠商安全性反而較高,主要是因?yàn)榻鼉赡曛髁鲝S商越來(lái)越重視安全問(wèn)題���,并加大了對(duì)安全的投入。
如何保護(hù)攝像頭安全
報(bào)告認(rèn)為���,若要從根本上解決攝像頭安全問(wèn)題���,需以安全管理和安全技術(shù)相結(jié)合���。加強(qiáng)安全管理措施,同時(shí)輔以技術(shù)手段提高效率��。
管理方面����,要建立攝像頭的相關(guān)安全標(biāo)準(zhǔn),把攝像頭納入網(wǎng)絡(luò)資產(chǎn)����,進(jìn)行統(tǒng)一化的安全管理。
技術(shù)方面�,制造商需要加強(qiáng)安全意識(shí)、建立那倒安全開發(fā)流程���,并對(duì)產(chǎn)品進(jìn)行檢查和跟蹤等�����。安全廠商則要從防護(hù)���、檢測(cè)�����、網(wǎng)絡(luò)���、通訊、硬軟件等多個(gè)維度為用戶提供合適的安全解決方案����。例如,本報(bào)告的主要支撐技術(shù):網(wǎng)絡(luò)空間測(cè)繪����。
安全牛評(píng)
隨著智慧城市、物聯(lián)網(wǎng)的到來(lái)�����,攝像頭這一重要的智能設(shè)備組件呈爆發(fā)性增長(zhǎng)態(tài)勢(shì)�����。在這龐大的市場(chǎng)身后����,是日益突出的視頻安全問(wèn)題,是國(guó)內(nèi)的安全廠商應(yīng)當(dāng)研究與思考的方向����,而網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)不失為一項(xiàng)重要、方便的安全技術(shù)手段和安全切入點(diǎn)�����。
免責(zé)聲明:本站所使用的字體和圖片文字等素材部分來(lái)源于互聯(lián)網(wǎng)共享平臺(tái)��。如使用任何字體和圖片文字有冒犯其版權(quán)所有方的��,皆為無(wú)意����。如您是字體廠商、圖片文字廠商等版權(quán)方�����,且不允許本站使用您的字體和圖片文字等素材����,請(qǐng)聯(lián)系我們,本站核實(shí)后將立即刪除!任何版權(quán)方從未通知聯(lián)系本站管理者停止使用���,并索要賠償或上訴法院的��,均視為新型網(wǎng)絡(luò)碰瓷及敲詐勒索����,將不予任何的法律和經(jīng)濟(jì)賠償����!敬請(qǐng)諒解!
粵公網(wǎng)安備 44030402000264號(hào)